虛擬化數據恢復環境：
Windows Server操作系統服務器上部署Hyper-V虛擬機環境。虛擬機的硬盤文件和配置文件存放在一臺存儲中，該存儲上有一組由4塊硬盤組建的raid5陣列，除此之外，還有一塊單盤存放檔虛擬機的備份文件。

虛擬化故障&檢測：
存儲中存放的虛擬機數據文件丟失，導致整個Hyper-V服務癱瘓，虛擬機無法使用。
北亞企安數據恢復工程師達到現場后，對故障虛擬化環境做了以下檢測：
1、對服務器和存儲進行物理故障檢測，經過檢測沒有發現設備存在物理故障，硬盤均正常讀取和工作。
2、對服務器操作系統進行檢測：檢測結果為操作系統工作正常，未發現錯誤進程，排除操作系統問題。
3、對丟失數據的硬盤的文件系統進行檢測：文件系統打開正常，殺毒軟件檢測正常。經過檢測發現文件系統的元文件創建時間（文件系統的創建時間）與數據丟失的時間一致。這種表現意味著：文件系統被人為重寫，即分區被格式化了。
4、對系統日志進行檢測：發現數據丟失的當天以及之前的系統日志被清空，審核日志和服務日志卻還存在。這種表現意味著此操作是人為造成的。格式化分區的操作只記錄在系統日志中，符合人為破壞的特征。
5、嘗試恢復系統日志：仔細分析硬盤底層數據，發現硬盤底層中需要恢復的系統日志已被新的日志記錄覆蓋，無法恢復。
6、對操作系統中的所有分區進行分析：發現只有存儲中的兩個分區被重新寫入文件系統了。兩個分區的格式化需要兩個獨立的過程來完成，這種針對性的操作應該是人為的。

虛擬化數據恢復過程：
1、將故障存儲中所有的硬盤做好標記，從槽位上拔出，經硬件工程師檢測沒問題。以只讀方式將所有磁盤進行扇區級全盤鏡像，鏡像完成后將所有磁盤按照原樣還原到原存儲中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
備份硬盤數據：

北亞企安數據恢復—Hyper-V數據恢復

2、基于鏡像文件分析所有硬盤底層數據，獲取重組RAID5所需要的相關信息（條帶大小，條帶走向、盤序）等信息。根據上述獲取到的信息重組RAID。
重組RAID：

北亞企安數據恢復—Hyper-V數據恢復

打開陣列：

北亞企安數據恢復—Hyper-V數據恢復

3、分析硬盤底層數據，發現著許多以前文件系統的目錄項及文件索引殘留。經過核對發現這些文件索引指向的數據都是用戶丟失的文件內容。北亞企安數據恢復工程師編寫了一個提取文件索引項的小程序，掃描&提取所有存在的文件索引項。
4、分析掃描到的文件索引項，發現這些索引項都是不連續的且大多是以16K或8K對齊的。正常情況下，文件索引項是連續的且大小為固定的1K，每個文件索引項對應一個文件或目錄。掃描出來的這些不連續且不完整的文件索引項無法正常索引到文件的內容，需要對這些掃描出來的文件索引項進行處理。
文件索引項截圖：

北亞企安數據恢復—Hyper-V數據恢復

5、找到所有的文件索引項后根據文件索引項的編號將其拼接成目錄結構。雖然有部分文件索引項被破壞，但是找到大部分文件索引項已經足夠拼接出目錄結構了。
掃描到的文件索引項碎片：

北亞企安數據恢復—Hyper-V數據恢復

6：將重建好的目錄結構和現有文件系統中的目錄結構進行替換，修改部分校驗值，然后對這個目錄結構進行解釋即可看到丟失的數據。
解釋出來的目錄結構：

北亞企安數據恢復—Hyper-V數據恢復

北亞企安數據恢復—Hyper-V數據恢復

驗證數據的正確性：將其中一個比較新的VHD文件恢復出來，然后將其拷貝到一臺支持附加VHD的服務器上，嘗試附加此VHD。結果附加成功，檢查VHD中最新數據是否完整。如果數據是完整的，就將所有數據恢復到一塊硬盤中。
恢復出來的虛擬機數據文件：

北亞企安數據恢復—Hyper-V數據恢復

7、在一臺測試服務器上搭建Hyper-V的環境。將恢復出來的虛擬機文件連接到這臺服務器上，然后通過導入虛擬機的方式將恢復出來的數據遷移到新的Hyper-V環境。讓用戶方驗證所有虛擬機是否完整。
虛擬機導入的過程：

北亞企安數據恢復—Hyper-V數據恢復

北亞企安數據恢復—Hyper-V數據恢復

8、用戶方經過驗證，確認所有虛擬機沒有問題。將所有數據拷貝到用戶方準備好的服務器中，然后利用導入的方式將虛擬機導入到用戶方準備好的Hyper-V環境中。需要以下面的方式導入虛擬機，導入后沒有出現報錯。啟動所有虛擬機，所有虛擬機啟動都沒問題。

北亞企安數據恢復—Hyper-V數據恢復

北亞企安數據恢復—Hyper-V數據恢復

北亞企安數據恢復—Hyper-V數據恢復

審核編輯 黃宇